2.0 Ventana de Dump - OllyDBG:


Esta subventana es muy útil también. En ella podemos representar los valores hexadecimales, de muchas formas diferentes:
- Podemos ver el carácter ASCII que representa al valor hex.
- Podemos ver el código UNICODE que representa a los valores hex.
- Podemos ver la representación de punto flotante.
- Podemos ver las direcciones que pueden representar.
- Podemos ver incluso el código desensamblado, aunque para esto ya tenemos nuestra ventana de desensamblado.
- Podemos ver un PE header con todos sus datos.
Y muchas opciones más. Una ventana muy requeteútil, que nos va a ayudar enormemente en nuestra labor.

Esta subdividida en varias columnas. Normalmente se suele utilizar la apariencia de la imagen anterior, que está dividida en 3 columnas.
Address --> dirección donde se encuentran los bytes
Hex dump --> los valores hexadecimales
ASCII --> el carácter ASCII del valor hexadecimal

Como se observa en la imagen, he utilizado un tamaño por fila de 16 bytes.

Con otras visualizaciones el manejo es similar.

Si pulsamos sobre cualquier valor hexadecimal o sobre cualquier dato ASCII, OllyDBG sombreará el valor hexadecimal y el código ASCII al que corresponde.
Podemos seleccionar el número de bytes que queramos.

Si pulsamos con el botón derecho del ratón veremos un menú similar al de la ventana de desensamblado.
Explicar todas las opciones o todo lo que podemos hacer podría resultar bastante extenso, monótono, aburrido y poco eficaz, así que pienso que lo mejor es practicar con unos sencillos ejemplos.

Acabo de echarle un vistazo, te voy a explicar dónde fallas.

Mira efectivamente estás en la zona correcta. Sólo hay una subrutina que comienza en:
401E00 PUSH EBP
y termina en
401FC0 RETN

Ése salto en el que te has parado, cuando examines más programas compilados en Visual Basic, verás que es un salto característico y que normalmente siempre salta. No tiene nada que ver con el serial ni con nada de eso, pero eso ya lo verás cuando examines varios programas en Visual Basic.

Continúa después de ese salto, no lo modifiques y sigue el código y seguidamente verás una función típica de Visual Basic: __vbaStrCmp

Ya no te digo más... jeje

Bueno si sigues teniendo dudas, coméntalo
Un saludo
karmany

Hola Vingilot, bienvenido.

Muy bien por tu interés, es la forma de aprender. Cualquier duda que tengas te echaremos un cable.

Voy a echar un vistazo al crackme1 a ver dónde fallas... luego vuelvo..

Un saludo
karmany

Hola PrInTeRo, bienvenido y gracias primeramente por la colaboración.

Estudiaremos la idea.
Lo que pasa que hay tantísima información que resaltar lo que es importante es muy complicado. Además hemos tenido que suprimir muchos temas antigüos porque estaban obsoletos o porque los enlaces o descargas ya habían desaparecido.
De todos modos me ha parecido buena sugerencia, ya veremos.

Bueno... actualmente todavía queda mucho y estamos trabajando en ello.
Pero por ej. si quieres tutoriales (realizados en elhacker) en el post correspondiente
http://foro.elhacker.net/index.php/topic,180720.0.html
tienes los enlaces a:
-Descarga del crackme(que si ya no existe me mandáis un mp y lo volveré a subir, que los tengo todos guardados)
-Post original
-Tutorial con la solución.
El tema de hacer más tutoriales es una idea excelente, pero para ello necesito más colaboración en la elaboración de los mismos, porque no es plan de hacerlos yo o Shadow, se trata de que la gente aprenda.

Un saludo
karmany

Hola guruangel, bienvenido.

He echado un vistazo a tu archivo ejecutable y da error al intentar leer una zona de memoria en una dirección que no pertenece al ejecutable.
He analizado la Import Table y no logro ver cual es el fallo. ¿Has arreglado correctamente la IAT? ¿Es el ejecutable original? yo diría que no.

Mira, las librerías que importa son todas de system32 y además el programa está compilado con Delphi, así que no debería tener ninguna dependencia más (en principio, solamente para cargarlo y llegar al OEP).
Yo particularmente creo que el dumpeado que has hecho no es correcto. Para no cometer errores sube solamente el instalador y así no habrá problemas...

Un saludo.
karmany

PD. Para localizar los eventos en Delphi puedes utilizar Dede, EA2, MiniDe y muchos programas más, que te dirán mucha información.
Una última cosa... en vez de analizarlo con WinDasm utiliza el OllyDBG que tiene muchísimas más opciones y es mucho más sencillo dar con la solución a tu problema.

Léete este tutorial que hice hace un tiempo cuando intenté desempacar un programa con un Hasp HL.

Tutorial mochilas

Un saludo
karmany

Las mochilas HASP actuales son bastantes complicadas de intentar emular. Lo que mejor puedes hacer y que yo también hice en un caso es poner la mochila en el ordenador y tratar el programa como un packer más.

Como el programa con mochila funciona, pues buscas el OEP dumpeas y arreglas la IAT y seguramente ya funcione.

De esto tienes ejemplos e información en la página de Ricardo.

-Daros las gracias a todos los "veteranos de este Gran Arte" por toda la ayuda que estamos recibiendo y aprovechando este post dar la Bienvenida a un amigo, muy buen cracker y muy avanzado en estos terrenos peligrosos:
Bienvenido Solid, me alegro de verte por aquí.
Un saludo
karmany

PD. No tengo más que añadir en la solución del problema del post, porque con tena y Solid es imposible que algo se resista... :-)

Hola riva.
Acabo de probar los enlaces al RDG Packer Detector v0.6.5 y van todos bien, no he tenido ningún problema. No sé tal vez sea tu descompresor.

De todos modos te dejo la página original del RDG Packer Detector y ahí podrás descargarlo a ver que tal:


Suerte.
karmany

Por supuesto que la puedes proteger con un packer aparte.
De hecho, hay muchos programas que la protección de su software la ponen en la misma librería y si quieres modificarla tienes que desempacarla como harías con cualquier otro ejecutable.

De esto tienes varios tutes en la pag de Ricardo.
Un saludo